
Hierbij wordt verklaard, dat in Nederland op 12 maart 1999 onder nummer 101 1544, 
ten name van: 

KONINKLIJKE KPN N.V. 

te Groningen 

een aanvrage om octrooi werd ingediend voor: 

" Werkwijze en inrichting voor het cryptografisch bewerken van data", 

onder inroeping van een recht van voorrang, gebaseerd op de in Nederland op 30 december 1998 
onder nummer 1010921 ingediende aanvrage om octrooi, en 

dat de hieraan gehechte stukken overeenstemmen met de oorspronkelijk ingediende stukken. 

i 



Rijswijk, 1 oktober 1999. 




> 




101 1544 




r 



I I.E. 



18 



1 2 m 1999 



UITTREKSEL 



Bij het cryptograf isch bewerken van data worden deze data 
(X) en een sleutel (K) aan een cryptograf isch proces (P) 
toegevoerd, dat een bekend proces kan zijn. Teneinde de 
aard van het proces (P) te versluieren worden aan het 
5 proces hulpwaarden toegevoerd, zoals een aanvullende 
sleutel (K*) , met behulp waarvan een aanvullend proces 
(P*) de eigenlijke sleutel (K) genereert . De combinatie 
van het oorspronkeli jke proces (P) en het aanvullende 
proces (P*) levert een onbekend proces op, waarbij de 
10 relatie tussen de aanvullende sleutel (K*) en de bewerkte 
data (Y) onbekend is. Hierdoor wordt een betere crypto- 
graf ische beveiliging verkregen. 



(Fig. 2) 
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Korte aanduiding: Werkwijze en inrichting voor het cryp- 
tografisch bewerken van data. 

ACHTERGROND VAN DE UITVINDING 

De uitvinding heeft betrekking op een werkwijze voor 

het cryptograf isch bewerken van data, omvattende het aan 

een cryptograf isch proces toevoeren van waarden, te weten 

de data en een sleutel, en het uitvoeren van het proces 
5 teneinde cryptograf isch bewerkte data te vormen. Een 

dergelijke werkwijze is in de praktijk bekend. 

Voor het cryptograf isch bewerken van data worden in 

de praktijk vaak algemeen bekende processen toegepast . 

Voorbeelden van dergelijke cryptograf ische processen 
10 (algoritmen) zijn DES en RSA, die bijvoorbeeld zijn be- 

schreven in het boek "Applied Cryptography" door B. 

Schneier (2e uitgave) , New York, 1996. 

Deze processen worden gepubliceerd omdat men ervan 

uitging dat het, bij een voldoende grote sleutellengte , 
15 ondoenlijk zou zijn aan de hand van de bewerkte data de 

oorspronkeli jke data en/of de sleutel te achterhalen, ook 

al was het cryptograf ische proces bekend. 

Recentelijk zijn echter aanvallen ontdekt die zijn 

gebaseerd op kennis van het cryptograf ische proces. Met 
2 0 andere woorden, doordat het gedrag van het proces bekend 

is wordt het, bij bepaalde aanvallen, aanzienlijk eenvou- 

diger om de gebruikte sleutel en/of de oorspronkeli jke 

data te herleiden. Het zal duidelijk zijn dat dit onge- 

wenst is. 



2 5 SAMENVATTING VAN DE UITVINDING 

De uitvinding beoogt bovengenoemd probleem op te 
lessen door een werkwijze en schakeling voor het uitvoe- 
ren van een cryptograf isch proces aan te geven die het 
herleiden van de sleutel bij toepassing van een bekend 

30 (d.w.z. openbaar) cryptograf isch proces aanzienlijk be- 
moeilijken of zelfs ondoenlijk maken. Een werkwijze van 
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de in de aanhef genoemde soort is hiertoe overeenkomstig 
de uitvinding gekenmerkt door het aan het proces toevoe- 
ren van hulpwaarden teneinde de in het proces gebruikte 
waarden te maskeren. 
5 Door het maskeren van de data en/of sleutel(s) wordt 

het aanzienlijk moeilijker deze waarden aan de hand van 
het gedrag van het proces te herleiden. Het resultaat van 
het proces, dat wil zeggen de verzameling bewerkte data, 
kan bij een geschikte keuze van de hulpwaarden onveran- 

10 derd zijn, dat wil zeggen identiek zijn aan het resultaat 
van het proces indien daar geen hulpwaarden aan zijn 
toegevoerd. In dit verband wordt onder een "hulpwaarde" 
een waarde (data of sleutel) verstaan, die in aanvulling 
op de corresponderende data en sleutel aan het proces 

15 wordt toegevoerd. 

De uitvinding is derhalve gebaseerd op het inzicht, 
dat het herleiden van de in een cryptograf isch proces 
gebruikte waarden aanzienlijk gecompliceerd wordt indien 
deze waarden door middel van hulpwaarden zijn gemaskeerd. 

2 0 De uitvinding is mede gebaseerd op het verdere in- 

zicht, dat het gebruik van hulpwaarden het resultaat van 
het proces niet noodzakeli jkerwi js beinvloedt , 

In een eerste uitvoeringsvorm van de uitvinding 
omvat een hulpwaarde een aanvullende sleutel die aan een 
25 aanvullend proces wordt toegevoerd teneinde de sleutel te 
vormen . 

Door een combinatie van een bekend proces en een 
aanvullend proces toe te passen wordt een nieuw, op zich 
onbekend cryptograf isch proces gevormd, zelfs indien het 
30 aanvullende proces ook op zich bekend is. 

Door de voor het bekende proces gebruikte sleutel 
(primaire sleutel) af te leiden uit een aanvullende sleu- 
tel (secundaire sleutel) met behulp van een aanvullend 
proces wordt bereikt dat niet de (primaire) sleutel van 

3 5 het bekende proces maar de aanvullende (secundaire) sleu- 

tel aan de combinatie van processen wordt aangeboden. Met 
andere woorden, extern wordt de aanvullende (secundaire) 
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sleutel en niet de werkelijke (primaire) sleutel van het 
eigenlijke proces gebruikt . Het afleiden van de sleutel 
uit de oorspronkeli jke data en de bewerkte data is daar- 
mee ondoenlijk geworden. Tevens is het afleiden van de 
5 aanvullende sleutel ernstig bemoeili jkt , omdat de combi- 
natie van het oorspronkeli jke proces en het aanvullende 
proces niet bekend is. 

Deze uitvoeringsvorm van de uitvinding is derhalve 
onder meer gebaseerd op het inzicht, dat het bekend zijn 

10 van een cryptograf isch proces ongewenst is, dit in tegen- 
stelling tot wat tot dusver werd aangenomen. Deze uitvoe- 
ringsvorm is tevens gebaseerd op het verdere inzicht, dat 
aanvallen die voortbouwen op kennis van het proces aan- 
zienlijk moeilijker worden indien het proces onbekend is. 

15 Bij voorkeur omvat het aanvullende proces een cryp- 

tograf isch proces. Dit maakt het herleiden van de aanvul- 
lende sleutel moeilijker. In principe kan echter bijvoor- 
beeld een eenvoudige codering als aanvullend proces wor- 
den toegepast . Bij een cryptograf isch proces wordt bij 

2 0 voorkeur een hulpsleutel toegepast. 

Met voordeel is het aanvullende proces een inver- 
teerbaar proces. Dit maakt het mogelijk de werkwijze 
volgens de uitvinding bij bestaande apparatuur met mini- 
male wijzigingen toe te passen. Indien bijvoorbeeld een 

25 eerste inrichting een (aanvullende) sleutel afgeeft die 
in een tweede inrichting overeenkomstig de uitvinding 
wordt toegepast, kan in de eerste inrichting de inverse 
van het aanvullende proces worden gebruikt om de aanvul- 
lende sleutel uit de oorspronkeli jke sleutel af te lei- 

30 den. Met andere woorden, hoewel in zowel de eerste als de 
tweede inrichting intern de oorspronkeli jke (primaire) 
sleutel wordt gebruikt, wordt tussen de inrichtingen de 
aanvullende (secundaire) sleutel uitgewisseld. Het onder- 
scheppen van de aanvullende sleutel leidt echter niet tot 

35 kennis van de oorspronkeli jke sleutel. 

Het kan voordelig zijn als het uitvoeren van het 
aanvullende proces uitsluitend plaatsvindt indien de data 
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vooraf bepaalde eigenschappen bezitten. Op deze wijze kan 
het cryptograf isch bewerken alleen voor bepaalde, gese- 
lecteerde data worden uitgevoerd, terwijl dit voor alle 
andere data is geblokkeerd. Op deze wijze wordt een aan- 
5 vullende bescherming bereikt. 

Een optimale beveiliging wordt geboden indien het 
proces en het aanvullende proces elk uit een aantal stap- 
pen zijn opgebouwd, en waarin afwisselend stappen van het 
proces en het aanvullende proces worden uitgevoerd. Hier- 

10 door worden de eigenschappen van het bekende proces ver- 
der versluierd, waardoor het herleiden van de sleutels 
verder wordt bemoeili jkt . 

In een tweede uitvoeringsvorm van de uitvinding 
omvat het proces een aantal trappen met elk een crypto- 

15 grafische bewerking voor het bewerken van uit de data 
afgeleide rechter data en een combinatiebewerking voor 
het met uit de data afgeleide linker data combineren van 
de bewerkte rechter data teneinde gemodif iceerde data te 
vormen, waarin de rechter data, vooraf gaande aan de be- 

2 0 werking F, gecombineerd worden met een primaire hulpwaar- 

de. Daardoor is het mogelijk de in de cryptograf ische 
bewerking gebruikte data te maskeren. 

Bij voorkeur worden de bewerkte rechter data telkens 
gecombineerd met een secundaire hulpwaarde . Hierdoor is 
25 het onder meer mogelijk de gemodif iceerde linker data te 
maskeren , 

Met voordeel is de secundaire hulpwaarde van een 
trap gevormd uit de combinatie van de primaire hulpwaarde 
van de voorgaande trap en de primaire hulpwaarde van de 

3 0 volgende trap. Hierdoor wordt het mogelijk de hulpwaarde 

in de telkens volgende trap te compenseren, waardoor deze 
hulpwaarde niet in het eindresultaat van het proces zal 
doorwerken. Een verdere maskering van alle data, in het 
bijzonder in de eerste trap, wordt bereikt indien de 
3 5 primaire hulpwaarde van de eerste trap tevens met de 
linker data wordt gecombineerd. 

Het is mogelijk de werkwijze volgens de uitvinding 
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zodanig uit te voeren, dat alle primaire hulpwaarden 
gelijk zijn. Hierdoor is een zeer eenvoudige praktische 
realisatie mogelijk. Het gebruik van verschillende hulp- 
waarden, die bij voorkeur toevalsgetallen zijn en voor 
5 elke keer dat het proces wordt uitgevoerd opnieuw worden 
gegenereerd, biedt echter een grotere cryptograf ische 
beveiliging . 

Een verdere vereenvoudiging van deze uitvoeringsvorm 
kan worden verkregen indien de primaire hulpwaarden en/of 

10 secundaire hulpwaarden telkens vooraf met de respect ieve 
bewerking zijn gecombineerd . Dat wil zeggen, het combine - 
ren met hulpwaarden wordt in de betreffende bewerking 
(bi j voorbeeld een substitutie) verwerkt, zodat het resul- 
taat van de respect ieve bewerking gelijk is aan dat van 

15 de oorspronkeli jke bewerking plus een of twee combinatie- 
bewerkingen met hulpwaarden. Door het vooraf in de bewer- 
king opnemen van de combinatiebewerkingen is een eenvou- 
diger en snellere praktische realisatie mogelijk. 

De genoemde combinatiebewerkingen worden bij voor- 

20 keur door middel van een exclusief -of -bewerking uitge- 
voerd. Andere combinatiebewerkingen, zoals binair optel- 
len, zijn in principe echter ook mogelijk. 

De uitvinding verschaft verder een schakeling voor 
het uitvoeren van een werkwijze voor het cryptograf isch 

25 bewerken van data. De uitvinding verschaft bovendien een 
betaalkaart en een betaalterminal die van een dergelijke 
schakeling zijn voorzien. 

De uitvinding zal in het onderstaande aan de hand 
van in de figuren weergegeven uitvoeringsvoorbeelden 

30 nader worden toegelicht. 

KORTE BESCHRIJVING VAN DE TEKENINGEN 

Fig. 1 toont schematisch een cryptograf isch proces 
volgens de stand van de techniek. 

Fig. 2 toont schematisch een eerste cryptograf isch 
3 5 proces volgens een eerste uitvoeringsvorm van de uitvin- 
ding . 
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Fig. 3 toont schematisch een tweede cryptograf isch 
proces volgens een eerste uitvoeringsvorm van de uitvin- 
ding . 

Fig. 4 toont schematisch een wijze waarop de proces- 
5 sen van Fig, 1 en 2 kunnen worden uitgevoerd. 

Fig. 5 toont schematisch een eerste cryptograf isch 
proces volgens een tweede uitvoeringsvorm van de uitvin- 
ding . 

Fig. 6 toont schematisch een tweede cryptograf isch 
10 proces volgens een tweede uitvoeringsvorm van de uitvin- 
ding . 

Fig. 7 toont schematisch een derde cryptograf isch 
proces volgens een derde uitvoeringsvorm van de uitvin- 
ding . 

15 Fig. 8 toont schematisch een schakeling waarin de 

uitvinding wordt toegepast . 

Fig. 9 toont schematisch een betaalsysteem waarin de 
uitvinding wordt toegepast. 

VOQRKEURSUITVOERINGSVORMEN 

20 Een (cryptograf isch) proces P volgens de stand van 

de techniek is in figuur 1 schematisch weergegeven. Aan 
het proces P worden ingangsdata X en een sleutel K toege- 
voerd. Aan de hand van de sleutel K zet het proces P de 
ingangsdata X om in (cryptograf isch) bewerkte uitgangsda- 

25 ta Y: Y = Pk(X). Het proces P kan een bekend cryptogra- 
fisch proces zijn, zoals DES (Data Encryption Standard) , 
drievoudige DES, of RSA (Rivest, Shamir & Adleman) . 

Indien de ingangsdata X en de uitgangsdata Y bekend 
zijn is het in principe mogelijk de gebruikte sleutel K 

3 0 te herleiden. Bij een sleutel met een voldoende grote 
lengte (d.w.z., een voldoend groot aantal bits) werd het 
tot nu toe ondoenlijk geacht deze sleutel te herleiden, 
zelfs indien het proces P bekend was. Ondoenlijk wil in 
dit geval zeggen dat het in theorie weliswaar mogelijk 

35 is, bijvoorbeeld door het proberen van alle mogelijke 
sleutels, om de gebruikte sleutel te achterhalen, maar 
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dat dit een onbruikbaar lange rekentijd vergt . Een derge- 
lijke aanval met brute kracht ("brute force attack") is 
daarom nauwelijks een bedreiging voor de cryptograf ische 
beveiliging. 

5 Recent ontdekte aanval len maken echter gebruik van 

kennis van het proces, waardoor het aantal mogelijke 
sleutels drastisch kan worden gereduceerd. Het herleiden 
van de gebruikte sleutel K en/of de ingangsdata X uit de 
uitgangsdata Y wordt daardoor binnen aanvaardbare reken- 

10 tijden mogelijk. 

Het principe van de uitvinding, die beoogt dergelij- 
ke aanvallen aanzienlijk moeilijker en tijdrovender te 
maken, is in fig. 2 schematisch weergegeven. Evenals in 
fig. 1 worden aan een (bekend) proces P ingangsdata X en 

15 een (geheime) sleutel K toegevoerd om uitgangsdata Y te 
genereren . 

In tegenstelling tot de situatie van fig. 1 wordt in 
de situatie van fig. 2 de sleutel K vanuit een aanvullend 
proces P* aan het proces P toegevoerd. Het aanvullende 

20 proces P* heeft een aanvullende (secundaire) sleutel K* 
als ingangsdata om, onder invloed van een hulpsleutel K' , 
de (primaire) sleutel K als uitgangsdata te produceren. 
De sleutel K wordt dus niet, zoals in de situatie van 
fig. 1, vanuit een externe bron (bi j voorbeeld een geheu- 

2 5 gen) aan het proces P toegevoerd, maar wordt door het 
proces P* voortgebracht uit de aanvullende (secundaire) 
sleutel K* : 

K = P*K, (K) 

Het is dus de secundaire sleutel K* in plaats van de 
30 primaire sleutel K die vooraf is bepaald en die bijvoor- 
beeld in een sleutelgeheugen (niet getoond) wordt opge- 
slagen. Overeenkomstig de uitvinding is de primaire sleu- 
tel K die aan het proces P wordt toegevoerd niet vooraf 
bepaald. 

35 De hulpsleutel K' kan een vast opgeslagen, vooraf 

bepaalde sleutel zijn. Het is ook mogelijk een aanvullend 
proces P* toe te passen waarin geen hulpsleutel K' wordt 
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gebruikt . 

De combinatie van de processen P en P* vormt een 
nieuw proces, dat schematisch is aangeduid als Q. Aan het 
proces Q, dat vanwege het aanvullende proces P* op zich 
5 onbekend is, worden de ingangsdata X en de (secundaire) 
sleutel K* toegevoerd pm de uitgangsdata Y te produceren. 
De relatie tussen de secundaire sleutel K* en de primaire 
sleutel K wordt door het aanvullende proces P* verslui- 
erd . 

10 Het aanvullende proces P* is bij voorkeur de inverse 

van een ander, inverteerbaar proces R. Dat wil zeggen: 

P* = R-\ 

Dit maakt het mogelijk de secundaire sleutel K* met 
behulp van R en de hulpsleutel K' voort te brengen uit de 
15 primaire sleutel K: 

K* = Rk, (K) , 

zoals later aan de hand van figuur 5 nader zal worden 
toegelicht. Eventueel kan het nieuwe proces Q worden uit- 
gebreid met het proces R, zodat de primaire sleutel K in 
2 0 plaats van de secundaire sleutel K* aan het proces Q 
wordt toegevoerd. De primaire sleutel K wordt in dat 
geval in het proces Q afgeleid uit: 

K = P*K' (K*) = P*K< (Rk- (K) ) . 
Dit maakt het mogelijk dezelfde (primaire) sleutel te 

2 5 gebruiken als in de stand van de techniek. 

Het in fig. 3 schematisch weergegeven cryptografi- 
sche proces volgens de uitvinding omvat eveneens een 
proces P met een primaire sleutel K en een aanvullende 
proces P* met een hulpsleutel K' , waarbij de primaire 

3 0 sleutel K door het aanvullende proces P* uit de aanvul- 

lende sleutel K* wordt afgeleid. In aanvulling op het 
proces van fig, 1 worden in dit geval ook de ingangsdata 
X aan het aanvullende proces P* toegevoerd, zodat de 
primaire sleutel K mede in af hankeli jkheid van de in- 
3 5 gangsdata X wordt bepaald: 

K = P*K' (K*,X) 

Hierdoor wordt een aanvullende cryptograf ische be- 
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scherming gekregen. Bovendien wordt hierdoor de mogelijk- 
heid geboden het aanvullende proces P* uitsluitend uit te 
voeren indien bepaalde ingangsdata worden aangeboden. Dat 
wil zeggen, het aanvullende proces P* kan een test van de 
5 ingangsdata X omvatten en het uitvoeren van het aanvul- 
lende proces P* kan afhangen van het resultaat van die 
test. Zo kan het aanvullende proces P* bijvoorbeeld 
slechts worden uitgevoerd als de laatste twee bits van de 
invoerdata X gelijk zijn aan nul . Het effect van een 

10 dergelijke ingangsdata-af hankeli jke bewerking is, dat 
slechts voor bepaalde ingangsdata X de juiste primaire 
sleutel K zal worden geproduceerd, zodat alleen die in- 
gangsdata de gewenste uitgangsdata Y opleveren. Het zal 
duidelijk zijn dat de cryptograf ische veiligheid hierdoor 

15 verder wordt vergroot . 

In fig. 4 is schematisch de wijze weergegeven waarop 
deelstappen van de processen P en P* afwisselend kunnen 
worden uitgevoerd ("interleaving") teneinde de bescher- 
ming tegen aanvallen verder te vergroten. De deelstappen 

20 kunnen zogenaamde "rondes" omvatten, zoals bijvoorbeeld 
bij DES het geval is. Bij voorkeur omvatten de deelstap- 
pen echter slechts een of enkele instructies van een 
programma, waarmee de processen worden uitgevoerd. 

In een eerste stap 101 wordt een eerste deelstap P^ 

2 5 van het proces P uitgevoerd. Vervolgens wordt in een 

tweede stap 102 de eerste deelstap P^* van het aanvullende 
proces P* uitgevoerd. Evenzo wordt in een derde stap 103 
de tweede deelstap P2 van het proces P uitgevoerd enz . Dit 
gaat door totdat in stap 110 de laatste deelstap P^,* van 
30 het aanvullende proces P* is uitgevoerd, waarbij omwille 
van het voorbeeld ervan is uitgegaan dat de processen P 
en P* evenveel deelstappen omvatten. Indien dat niet het 
geval is, wordt in stap 110 de laatste overeenkomst ige 
deelstap uitgevoerd, en worden in verdere stappen de 

3 5 resterende deelstappen uitgevoerd. 

Door het afwisselen van de deelstappen van het op 
zich bekende proces P en het (mogelijk eveneens op zich 
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bekende) proces P* kan een reeks van deelstappen worden 
verkregen, die niet overeenkomt met die van een bekend 
proces. De aard van het proces is hierdoor moeilijker te 
herkennen . 

5 Het in fig. 5 schematisch weergegeven cryptograf isch 

proces omvat een aantal trappen S (S^, 83/ ..,..). In elke 
trap S worden (rechter) data RD toegevoerd aan een cryp- 
tograf ische bewerking F. Deze cryptograf ische bewerking 
kan zelf een aantal deelstappen omvatten, zoals een ex- 

10 pansie, een combinatie met een sleutel, een substitutie 
en een permutatie. De cryptograf ische bewerking F levert 
bewerkte data RD' , die in een combinatiebewerking CC (CC^, 
CC2/ . . . . , de index geeft steeds de betref fende trap S 
aan) met linker data LD worden gecombineerd tot gemodifi- 

15 ceerde (linker) data LD' , die evenals de oorspronkeli jke 
rechter data RD worden doorgegeven aan de volgende trap . 

Zoals in fig. 5 is getoond, wisselen aan het eind 
van elke trap S de gemodif iceerde linker data LD' en de 
rechter data RD van posit ie, zodat deze respectieveli j k 

2 0 de rechter data RD en de linker data LD van de volgende 
trap vormen. 

De linker data LD en de rechter data RD zijn in een 
voorafgaande bewerking PP afgeleid uit ingangsdata X en 
kunnen daarbij een voorbereidende permutatie ondergaan. 

2 5 De uitgangsdata van de laatste trap vormen de bewerkte 

data Y van de werkwijze, eventueel nadat deze een eindbe- 
werking, zoals een uitgangspermutatie PP"^, hebben onder- 
gaan . 

Overeenkomstig de uitvinding worden de in en tussen 

3 0 de trappen aanwezige data gemaskeerd met hulpwaarden. Zo 

is in elke trap, bijvoorbeeld de trap S2, een aanvullende 
combinatiebewerking AC aanwezig die de rechter data RD 
combineert met een (primaire) hulpwaarde A voordat deze 
data aan de cryptograf ische bewerking F worden toege- 
35 voerd. Een verdere combinatiebewerking BC is tussen de 
cryptograf ische bewerking F en de combinatiebewerking CC 
ingevoegd met het doel de bewerkte (rechter) data RD' met 
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een verdere (secundaire) hulpwaarde B te combineren, Bij 
voorkeur zijn alle combinatiebewerkingen exclusief -of - 
bewerkingen . 

Het combineren van de data LD en RD met de hulpwaar- 
5 den A en B heeft tot gevolg, dat de gemodif iceerde data 
LD' gemaskeerd zijn, waardoor het aanzienlijk moeilijker 
is de oorspronkeli jke data LD en RD uit de gemaskeerde 
data LD' te herleiden. 

Overeenkomstig een verder aspect van de uitvinding 
10 zijn de hulpwaarden A en B gerelateerd, De tweede hulp- 
waarde B is bij voorkeur door middel van een exclusief - 
of-bewerking gevormd uit de eerste hulpwaarde A^ van de 
vorige trap en de hulpwaarde A van de volgende trap : 
Bi = Ai., © Ai,,. 

15 Dit heeft tot gevolg, dat elke hulpwaarde A die middels 
een verdere aanvullende combinatiebewerking BC als be- 
standdeel van de verdere hulpwaarde B met de rechter data 
RD is gecombineerd telkens in de volgende trap wordt 
gecompenseerd voordat de data aan de bewerking F worden 

2 0 onderworpen. De hulpwaarde A werkt echter wel door in de 

gemodif iceerde data LD' , zodat deze tussen twee trappen 
gemaskeerd blijven. 

Met voordeel gaan aan de eerste trap voorbereiden- 
de combinatiebewerkingen EC en DC vooraf, die respect ie- 
25 velijk de rechter data RD^ en de linker data LD^ van de 
eerste trap S-l vormen aan de hand van respectieveli jk de 
primaire hulpwaarde A^ van de eerste trap en een primaire 
hulpwaarde A^ . Deze combinatiebewerkingen zijn bij voor- 
keur ook exclusief -of -bewerkingen. In dat geval heeft de 

3 0 combinatiebewerking AC^ het effect de hulpwaarde A^ uit de 

rechter data RD^ te verwijderen alvorens deze aan de 
bewerking worden aangeboden. In de rechter data RD^, 
die door de kruislingse omwisseling in de tweede trap 
de linker data LD2 gaan vormen, blijft de hulpwaarde A^ en 
3 5 daarmee de maskering van de data behouden. 

De tweede data SD^ van de eerste trap Si zijn gemas- 
keerd met de additionele hulpwaarde Aq . Door het combine- 
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ren met de hulpwaarde = Aq ® A2 wordt de aanvankeli jke 
hulpwaarde Aq verwijderd (wegens Aq ® Aq = 0) , maar blijft 
de hulpwaarde A2 en de daarmee bereikte maskering behou- 
den. De hulpwaarde Aq wordt in deze uitvoeringsvorm bij 
5 voorkeur gelijk gekozen aan A^ . 

Teneinde de hulpwaarden voorafgaand aan de eindbe- 
werking (PP"^) te verwijderen zijn afsluitende combinatie- 
bewerkingen FC en GC voorzien, die de gemodif iceerde 
linker data LD'^ van de laatste trap met een hulpwaarde 

10 Ay^^i respectieveli jk de rechter data RD^ met een hulpwaarde 
A„ combineren. Hierdoor is het mogelijk de werkwijze 
zodanig uit te voeren, dat ondanks het gebruik van de 
hulpwaarden A de einddata Y gelijk zijn aan die welke met 
de convent ionele werkwijze zouden zijn verkregen. 

15 Hoewel bij voorkeur alle hulpwaarden A^ verschillend 

worden gekozen, met uitzondering van Aq = A^, is het 
mogelijk alle hulpwaarden A^ gelijk te kiezen. In dat 
geval zijn alle secundaire hulpwaarden in de weergegeven 
uitvoeringsvorm gelijk aan nul , zodat de verdere combina- 

20 tiebewerkingen BC achterwege kunnen blijven. 

In het proces van fig. 6, dat grotendeels overeen- 
komt met dat van fig. 5, zijn de combinatiebewerkingen AC 
en BC en de cryptograf ische bewerking F geintegreerd tot 
een gecombineerde bewerking F' . Het integreren van de 

25 combinatiebewerkingen is mogelijk door . bijvoorbeeld een 
substitutietabel van de bewerking F op geschikte wijze 
aan te passen. Hierdoor kunnen de aanvullende combinatie- 
bewerkingen AC en BC achterwege blijven. In principe is 
voor elke trap Si een verschillende gecombineerde bewer- 

30 king F^ nodig, waarin verschillende hulpwaarden A^ zijn 
geintegreerd (zie Fig. 5) . Slechts indien de hulpwaarden 
Ai gelijk worden gekozen, d.w.z. A^ = A2 = .... = A„, 
kunnen de gecombineerde bewerkingen F^ gelijk zijn. 

De uitvoeringsvorm van fig. 7 komt grotendeels over- 

3 5 een met die van Fig. 6. In aanvulling op Fig. 6 is in 
elke trap S, met uitzondering van de laatste trap S^, een 
combinatiebewerking HC opgenomen die de rechter data RD 
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met een tertiaire hulpwaarde W combineert . Bij voorkeur 
is de teriaire hulpwaarde gelijk aan de exclusief - of - 
combinatie van de hulpwaarden Aq en A^: 

W = Ao ® Ai. 

5 Dit heeft het resultaat dat de bewerking HC steeds 

de hulpwaarde Aq toevoegt en de hulpwaarde A^ compenseert . 
Hierdoor is het mogelijk dat alle cryptograf ische bewer- 
kingen F in wezen identiek zijn, hetgeen een veel gerin- 
gere verwerkings- en/of opslagcapaciteit vereist van een 

10 processorsysteem waarmee de werkwijze wordt uitgevoerd. 
Het zal duidelijk zijn dat in de uitvoeringsvorm van Fig. 
7 de bewerkingen F" zodanige aanpassingen van de oor- 
spronkelijke bewerkingen F zijn, dat deze gecorrigeerd 
zijn voor de hulpwaarde A^ en bovendien de hulpwaarde Aq 

15 hun resultaat combineren. Met andere woorden, indien RD © 
Ai aan F" wordt toegevoerd, is het resultaat gelijk aan F" 
(RD) © W, 

In fig. 8 is schematisch een schakeling 10 voor het 
ten uitvoer leggen van de werkwijze volgens de uitvinding 

2 0 getoond. De schakeling 10 omvat een eerste geheugen 11, 

een tweede geheugen 12 en een processor 13, waarbij de 
geheugens 11 en 12 en de processor 13 door middel van een 
databus 14 zijn gekoppeld. Door het verschaffen van twee 
geheugens is het mogelijk telkens een deelstap van een 
25 van de processen P en P* uit te voeren (zie fig. 4) , het 
resultaat van die deelstap in bijvoorbeeld het eerste 
geheugen 11 op te slaan, en vanuit het tweede geheugen 12 
een vorig tussenresultaat van het andere proces naar de 
processor 13 over te brengen. Op deze wijze is het moge- 

3 0 lijk het afwisselend berekenen van deelstappen van twee 

verschillende processen efficient uit te voeren. 

Het in fig. 9 schematisch weergegeven betaalsysteem 
omvat een elektronisch betaalmiddel 1 en een betaalstati- 
on 2. Het elektronische betaalmiddel 1 is bijvoorbeeld 
3 5 een zogenaamde "smart card", d.w.z. een kaart die van een 
geintegreerde schakeling voor het opslaan en verwerken 
van betaalgegevens is voorzien. Het betaalstation 2 omvat 
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een kaartlezer 21 en een processorschakeling 22. De pro- 
cessorschakeling 22 kan overeenkomen met de schakeling 10 
van fig. 5. 

Aan het begin van een transactie draagt het betaal- 
5 middel 1 een identif icatie (kaartidentif icatie) ID over 
naar het betaalstation 2. Aan de hand van deze identif i- 
catie bepaalt het betaalstation 2 een sleutel die voor 
deze transactie zal worden gebruikt . Deze identif icatie 
ID kan als ingangsdata X (zie de figuren 1-3) aan een 

10 cryptograf isch proces worden toegevoerd dat aan de hand 
van een meestersleutel MK een identif icatie-afhankelijke 
transactiesleutel Kj^ als uitgangsdata Y produceert . 
Overeenkomstig de uitvinding wordt hiervoor het in de 
figuren 2 en 3 weergegeven proces gebruikt, waarbij de 

15 meestersleutel MK vooraf met behulp van een proces R is 
omgezet in een aanvullende meestersleutel MK* . Deze aan- 
vullende meestersleutel MK* wordt nu, bij voorkeur samen 
met de identif icatie ID overeenkomstig fig. 3, toegevoerd 
aan het aanvullende proces P* teneinde de oorspronkeli j ke 

20 meestersleutel MK te reproduceren eri de transactiesleutel 
Kid de identif icatie ID af te leiden. 

Hoewel in de figuren 2 en 3 steeds een enkel aanvul- 
lend proces P* is getoond, kunnen eventueel meerdere 
processen P*, P**, p***, ... in serie en/of parallel 

25 worden gebruikt om de primaire sleutel K af te leiden. 

Het zal deskundigen duidelijk zijn dat vele wijzi- 
gingen en aanvullingen mogelijk zijn zonder buiten het 
kader van de uitvinding te treden. 
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CONCLUSIES 

1. Werkwijze voor het cryptograf isch bewerken van data, 
omvattende het aan een cryptograf isch proces (P) toevoe- 
ren van waarden, te weten de data (X) en een sleutel (K) , 
en het uitvoeren van het proces (P) teneinde cryptogra- 

5 fisch bewerkte data (Y) te vormen, gekenmerkt door het 
aan het proces (P) toevoeren van hulpwaarden (K*; A, B) 
teneinde de in het proces (P) gebruikte waarden (K; D) te 
maskeren . 

2. Werkwijze volgens conclusie 1, waarin een hulpwaarde 
10 een aanvullende sleutel (K*) omvat die aan een aanvullend 

proces (P*) wordt toegevoerd teneinde de sleutel (K) te 
vormen . 

3. Werkwijze volgens conclusie 2, waarin het aanvullen- 
de proces (P*) een cryptograf isch proces omvat waaraan 

15 een hulpsleutel (K' ) wordt toegevoerd. 

4. Werkwijze volgens conclusie 2 of 3 , waarin het aan- 
vullende proces (P*) een inverteerbaar proces is. 

5. Werkwijze volgens conclusie 2, 3 of 4, waarin de 
data (X) tevens aan het aanvullende proces (P*) worden 

2 0 toegevoerd. 

6. Werkwijze volgens conclusie 5, waarbij het uitvoeren 
van het aanvullende proces (P*) uitsluitend plaatsvindt 
indien de data (X) vooraf bepaalde eigenschappen bezit- 
ten . 

25 7. Werkwijze volgens een van de conclusies 2-6, waarin 
het proces (P) en het aanvullende proces (P*) elk uit een 
aantal stappen zijn opgebouwd, en waarin afwisselend 
stappen van het proces (P) en het aanvullende proces (P*) 
worden uitgevoerd . 

3 0 8. Werkwijze volgens een van de voorgaande conclusies, 

waarin het proces (P) een aantal trappen (S) omvat met 
elk een cryptograf ische bewerking (F) voor het bewerken 
van uit de data (X) afgeleide rechter data (RD) en een 
combinatiebewerking (C) voor het met eveneens uit de data 
35 (X) afgeleide linker data (LD) combineren van de bewerkte 
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rechter data (RD' ) teneinde gemodif iceerde linker data 
(LD' ) te vormen, en waarin de rechter data (RD) , vooraf- 
gaand aan de bewerking F, met een primaire hulpwaarde (A) 
worden gecombineerd . 
5 9. Werkwijze volgens conclusie 8, waarin de bewerkte 
rechter data (RD' ) / volgend op de bewerking met een 

secundaire hulpwaarde (B) worden gecombineerd. 

10. Werkwijze volgens conclusie 8 en 9, waarin de secun- 
daire hulpwaarde (B) van een trap gevormd is uit de com- 

10 binatie van de primaire hulpwaarde (A) van de voorgaande 
trap en de primaire hulpwaarde (A) van de volgende trap. 

11. Werkwijze volgens conclusie 8 of 10, waarin, vooraf- 
gaande aan de eerste trap (S^) , de rechter data (RD) met 
de primaire hulpwaarde (A^) van de eerste trap (Si) en de 

15 linker data (LD) met een additionele hulpwaarde (Aq) wordt 
gecombineerd . 

12. Werkwijze volgens conclusie 11, waarin, onmiddellijk 
na de laatste trap (S^) , de rechter data (RD^) met de 
primaire hulpwaarde (A^) van de laatste trap en de gemodi- 

20 f iceerde linkerdata (LD' ) met een verdere additionele 
hulpwaarde (A^^i) worden gecombineerd. 

13. Werkwijze volgens een van de conclusies 8-12, waarin 
alle primaire hulpwaarden (A) gelijk zijn. 

14. Werkwijze volgens een van de conclusies 9-13, waarin 

2 5 de primaire hulpwaarden (A) en/of secundaire hulpwaarden 

(B) telkens vooraf met de respectieve bewerking (F) zijn 
gecombineerd . 

15. Werkwijze volgens een van de conclusies 8-14, waarin 
het coTubineren door middel van een exclusief -of -bewerking 

3 0 wordt uitgevoerd. 

16. Werkwijze volgens een van de voorgaande conclusies, 
waarin de data (X) identif icatiedata van een betaalmiddel 
(1) omvatten en de bewerkte data (Y) een gediversif iceer- 
de sleutel vormen. 

3 5 17. Werkwijze volgens een van de voorgaande conclusies, 
waarin het proces (P) DBS omvat, bij voorkeur drievoudige 
DES . 



18. Schakeling (10) voor het uitvoeren van de werkwijze 
volgens een van de voorgaande conclusies. 

19. Betaalkaart (1), voorzien van een schakeling (10) 
volgens conclusie 17 . 

20. Betaalterminal (2), voorzien van een schakeling 
volgens conclusie 18. 
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ABSTRACT 

In the event of cryptographically processing data, said data (X) 
and a key (K) are fed to a cryptographic process (P) , which may 
5 be a known process . In order to veil the nature of the process 

(P) , there are fed auxiliary values to the process, such as a 
supplementary key (K*) , using which a supplementary process (P*) 
generates the key proper (K) . The combination of the original 
process (P) and the supplementary process (P*) provides an 
10 unknown process, the relationship between the supplementary key 

(K*) and the processed data (Y) being unknown. As a result, 
there is obtained an improved cryptographic security. 
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(FIG. 2) 
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FIG. 2 



Method and device for cryptograph! cally processing data. 

BACKGROUND OF THE INVENTION 

The invention relates to a method for cryptographically 
processing data, comprising feeding, to a cryptographic process, 
values, namely, the data and a key, and carrying out the process 
in order to form cryptographically processed data. Such method 
is generally knovm. 

For cryptographically processing data, in practice there 
are often applied generally known processes. Examples of such 
cryptographic processes (algorithms) are DES and RSA [DES = Data 
Encryption Standard and RSA = Rives t, Shamir & Adleman] , which 
are described, e.g., in the book '"Applied Cryptography" by B. 
Schneier (2nd edition). New York, 1996. 

Said processes are published since it was assumed that, in 
the event of sufficiently large key lengths, it would be 
impossible, on the basis of the processed data, to retrieve the 
original data and/or the key, even if the cryptographic process 
were known. 

Recently, however, there were discovered attacks which are 
baised on knowledge of the cryptographic process. In other words, 
since the behaviour of the process is known, in the event of 
certain attacks it becomes considerably more simple to derive the 
key used and/or the original data. It will be understood that 
such is undesirable. 

SUMMARY OF THE INVENTION 

The object of the invention is to solve the above problem 
by indicating a method and circuit, for carrying out a 
cryptographic process, which render the derivation of the key in 
the event of application of a known (i.e., public) cryptographic 
process considerably more difficult or even impossible. For this 
purpose, a method of the type referred to in the preamble 
according to the invention is characterised by feeding, to the 
process, auxiliary values in order to mask the values used in the 
process . 

By masking the date and/or key(s) it becomes considerably 
more difficult to derive said values on the basis of the 
behaviour of the process. The result of the process, i.e., the 
collection of processed data, in the event of a suitable choice 
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of the auxiliary values may be iinchanged, i.e., identical to the 
result of the process, if no auxiliary values have been fed to 
it. In this connection, an auxiliary value" is understood to 
mean a value (data or key) which is fed to the process as a 
5 supplement to the corresponding data and key. 

The invention is therefore based on the insight that the 
derivation of the values used in a cryptographic process is 
rendered considerably more difficult if said values are masked 
using auxiliary values. 

10 The invention is partly based on the further insight that 

the use of auxiliary values does not necessarily affect the 
outcome of the process. 

In a first embodiment of the invention, an auxiliary value 
comprises a supplementary key which is fed to a supplementary 

15 process in order to form the key. 

By applying a combination of a known process and a 
supplementary process, there is formed a new cryptographic 
process, iinknown per se, even if the supplementary process is 
also known per se. 

20 By deriving the key used for the known process (primary 

key) from a supplementary key (secondary key) using a 
supplementary process, there is achieved that not the (primary) 
key of the known process but the supplementary (secondary) key is 
offered to the combination of processes. In other words, 

25 externally the supplementary (secondary) key, and not the real 

(primary) key of the process proper, is used. Derivation of the 
key from the original data and the processed data has thereby 
become impossible. In addition, the derivation of the 
supplementary key has been rendered seriously more difficult, 

30 since the combination of the original process and the 

supplementary process is not known. 

Said embodiment of the invention is therefore based, inter 
alia, on the insight that the being known of a cryptographic 
process is undesirable, such contrary to what was so far assumed. 

35 Said embodiment is also based on the further insight that attacks 

which elaborate on knowledge of the process become considerably 
more difficult if the process is unknown. 

The supplementary process preferably comprises a 
cryptographic process. This renders the derivation of the 

40 supplementary key more difficult. Basically, however, a simple 
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encoding may be applied, e.g., as a supplementary process. In 
the event of a cryptographic process, there is preferably applied 
an auxiliary key. 

The supplementary process advantageously is an invert ible 
5 process. This enables the application of the method according to 

the invention in existing equipment with minimum modifications. 
If, e.g., a first device gives off a (supplementary) key which is 
applied in a second device according to the invention, then in 
the first device there may be used the inverse of the 

10 supplementary process to derive the supplementary key from the 

original key. In other words, although in both the first and the 
second device internally the original (primary) key is used, 
there is exchanged, between the devices, the supplementary 
(secondary) key. Intercepting the supplementary key, however, 

15 does not result in knowledge of the original key. 

It may be advantageous if carrying out the supplementary 
process takes place exclusively if the data has predetermined 
properties. In this manner, cryptographic processing may be 
carried out for specific, selected data only, while such is 

20 blocked for all other data. In this manner, there is achieved a 

supplementary protection. 

An optimum security is provided if the process and the 
supplementary process are each constructed of several steps and 
in which there are alternately carried out steps of the process 

25 and the supplementary process. As a result, the properties of 

the known process are further veiled, as a result of which the 
derivation of the keys is further complicated. 

In a second embodiment of the invention, the process 
comprises several steps, each of which has a cryptographic 

30 operation for processing right-hand data' derived from the data 

and a combinatory operation for combining the processed right- 
hand data with left-hand data derived from the data, in order to 
form modified data, in which the right-hand data, prior to the 
operation F, is combined with a primary auxiliary value. As a 

35 result, it is possible to mask data used in the cryptographic 

processing . 

The processed right-hand data is preferably repeatedly 
combined with a secondary auxiliary value. As a result, it is 
possible to mask the modified left data. 



The secondary atixiliary value of a step is advantageously 
formed from the combination of the primary aiixiliary value of the 
preceding step and the primary auxiliary value of the next step. 
As a result, it becomes possible to compensate the auxiliary 
value in the repeatedly next step, as a result of which said 
auxiliary value will not make itself felt in the end result of 
the process. A further masking of all data, particularly in the 
first step, is achieved if the primary auxiliary value of the 
first step is also combined with the left-hand data. 

It is possible to carry out the method according to the 
invention in such a manner, that all primary auxiliary values are 
equal. As a result, a very simple practical realisation is 
possible. The use of several auxiliary values, which are 
preferably random numbers and are generated anew for each time 
the process is carried out, however, offers a greater 
cryptographic security. 

A further simplification of said embodiment may be obtained 
if the primary auxiliary values and/or secondary axixiliary values 
repeatedly have been combined in advance with the operation in 
question. This is to say, combining with aixxiliary values is 
processed in the operation in question (e.g., a substitution), in 
such a manner that the result of the operation in question is 
equal to that of the original operation plus one or two 
combinatory operations with auxiliary values. By in advance 
including in the operation the combinatory operations, a more 
simple and faster practical realisation is possible. 

Said combinatory operations are preferably carried out 
using an XOR operation [XOR = exclusive OR] . Other combinatory 
operations, however, such as binary adding, are basically 
possible as well. 

The invention further provides a circuit for carrying out a 
method for cryptographically processing data. In addition, the 
invention supplies a payment card and a payment terminal provided 
with such circuit. 

Below, the invention will be further explained on the basis 
of the exemplary embodiments shown in the figures. 

BRIEF DESCRIPTION OF THE DRAWINGS 

FIG. 1 schematically shows a cryptographic process 
according to the prior art. 



FIG. 2 schematically shows a first cryptographic process 
according to a first embodiment of the invention. 

FIG. 3 schematically shows a second cryptographic process 
according to a first embodiment of the invention. 
5 FIG. 4 schematically shows a way in which the processes of 

figures FIG. 1 and 2 may be carried out. 

FIG. 5 schematically shows a first cryptographic process 
according to a second embodiment of the invention. 

FIG. 6 schematically shows a second cryptographic process 
10 according to a second embodiment of the invention. 

FIG. 7 schematically shows a third cryptographic process 
according to a third embodiment of the invention. 

FIG. 8 schematically shows a circuit in which the invention 
is applied. 

15 FIG. 9 schematically shows a payment system in which the 

invention is applied. 



PREFERRED EMBODIMENTS 

A (cryptographic) process P according to the prior art is 

20 schematically shown in FIG. 1. To the process P, there are fed 

input data X and a key K. On the basis of the key K, the process 
P converts the input data X into (cryptographically) processed 
output data Y: Y = Pk(X) . The process P may be a known 
cryptographic process, such as DES (Data Encryption Standard), 

25 triple DES, or RSA (Rivest, Shamir & Adleman) . 

If the input data X and the output data Y are known, it is 
basically possible to derive the key K used. In the event of a 
key of sufficiently great length (i.e., a sufficiently large 
number of bits) , it was so far deemed impossible to derive said 

30 key, even if the process P were known. Impossible in this case 

is to say that in theory it is admittedly possible, e.g., by 
trying out all possible keys, to retrieve the key used, but that 
such requires an impossibly long computational time. Such 
* *brute-f orce attack'' is therefore hardly a threat to the 

35 cryptographic security. 

Attacks recently discovered, however, make use of knowledge 
of the process, as a result of which the number of possible keys 
may be reduced drastically. Deriving the key K used and/or the 
input data X from the output data Y therefore becomes possible 

40 within acceptable computational times. 



The principle of the invention, whose object it is to 
render such attacks considerably more difficult and time- 
consuming, is schematically shown in FIG. 2. Just as in FIG. 1, 
to a (known) process P there are fed input data X and a (secret) 
5 key K to generate output data Y. 

Contrary to the situation of FIG. 1, in the situation of 
FIG. 2 the key K is fed to the process P from a supplementary 
process P* . The supplementary process P* has a supplementary 
(secondary) key K* as input data to produce, under the influence 
10 of an auxiliary key K' , the (primary) key K as output data. The 

key K is therefore not fed, as is the case in the situation of 
FIG. 1, from an external source (e.g., a memory) to the process 
P, but is produced by the process P* from the supplementary 
(secondary) key K* : 
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K = P*K. (K) . 



It is therefore the secondary key K* , instead of the 
primary key K, which is predetermined and stored, e.g., in a key 

20 memory (not shown) . According to the invention, the primary key 

K, which is fed to the process P, is not predetermined. 

The auxiliary key K' may be a permanently stored, 
predetermined key. It is also possible to apply a supplementary 
process P* in which no auxiliary key K' is used. 

25 The combination of the processes P and P* forms a new 

process which is schematically designated by Q, To the process Q 
which, on accovmt of the supplementary process P* , is unknown per 
se, the input data X and the (secondary) key K* are fed to 
produce the output data Y. The relationship between the 

30 secondary key K* and the primary key K is veiled by the 

supplementary process P* . 

The supplementary process P* preferably is the inverse of 
another, invertible process R. This is to say: 

35 P* = R"^ 



This enables producing the secondary key K* from the 
primary key K using R and the aiixiliary key K' : 



K* = Rk. (K) , 
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as will be further explained later by reference to FIG. 5. The 
new process Q may possibly be extended by the process R, in such 
a manner that the primary key K, instead of the secondary key K* , 
is fed to the process Q. The primary key K in this case in the 
process Q is derived from: 

K = P*K' (K*) = P*K' (Rr' (K) ) . 

This enables using the same (primary) key as in the prior 



art . 

The cryptographic process according to the invention, 
schematically shown in FIG. 3, also comprises a process P having 

15 a primary key K and a supplementary process P* having an 

auxiliary key K' , the primary key K being derived from the 
supplementary key K* by the supplementary process P* . 
Supplementing the process of FIG. 1, in this case the input data 
X is also fed to the supplementary process P* , in such a manner 

20 that the primary key K is determined partly as a function of the 

input data X : 

K = P*K. (K*,X) . 

25 As a result, there is obtained a supplementary 

cryptographic protection. In addition, as a result the 
possibility is offered to carry out the supplementary process P* 
exclusively if certain input data is offered. This is to say 
that the supplementary process P* may comprise a test of the 

30 input data X, and carrying out the supplementary process P* may 

depend on the result of said test. Thus, the supplementary 
process P*, e.g., may be carried out only if the last two bits of 
the input data X equal zero. The effect of such an input data- 
dependent operation is that only for certain input data X the 

35 correct primary key K will be produced in such a manner that only 

said input data will deliver the desired output data Y. It will 
be understood that as a result the cryptographic security is 
further enhanced. 

FIG. 4 schematically shows the way in which substeps of the 

40 processes P and P* may be carried out alternatingly 
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interleaving" ) in order to further enhance the protection 
against attacks. The substeps may include so-called ""rounds", 
such as, e.g., in the case of DES . The substeps, however, 
preferably comprise only one or a few instructions of a program, 
5 with which the processes are being carried out . 

In a first step 101, there is carried out a first substep 
of the process P. Subsequently, in a second step 102, the first 
substep Pi* of the supplementary process P* is carried out . 
Likewise, in a third step 103, the second substep P2 of the 

10 process P is carried out etc. This continues until, in step 110, 

the last substep P^* of the supplementary process P* has been 
carried out, it being assumed, for the sake of the example, that 
the processes P and P* comprise an equal number of substeps. If 
such is not the case, in step 110 there is carried out the last 

15 corresponding substep, and in further steps the remaining 

substeps are carried out. 

By alternating the substeps of the process P, which is 
known per se, and the process P* (possibly known per se as well) , 
there may be obtained a series of substeps which does not 

20 correspond to that of a known process. As a result, the nature 

of the process is more difficult to recognise. 

The cryptographic process schematically shown in FIG. 5 
comprises several steps S (S^, Sj, ...). In each step S, (right- 
hand) data RD is fed to a cryptographic operation F. Said 

25 cryptographic operation itself may comprise a number of substeps, 

such as an expansion, a combination with a key, a substitution 
and a permutation. The cryptographic operation F provides 
processed right-hand data RD' , which is combined, in a 
combinatory operation CC (CCi, CC2, . . . , the index always 

30 indicating the step S in question) , with left-hand data LD to 

form modified (left-hand) data LD* which, just as the original 
right-hand data RD, is passed on to the next step. 

As is shown in FIG. 5, at the end of each step S the 
modified left-hand data LD » and the right-hand data RD change 

35 positions in such a manner that they form the right-hand data RD 

and the left-hand data LD of the next step. 

The left-hand data LD and the right-hand data RD were 
derived, in a preceding operation PP, from input data X and, in 
doing so, may undergo a preparatory permutation. The output data 

40 of the last step forms the processed data Y of the method. 



possibly after it has undergone a final operation, such as an 
output permutation PP*^ . 

In accordance with the invention, the data present in and 
between the steps is masked with auxiliary values. Thus, in any 
step, e.g., in the step 83, there is a supplementary combinatory 
operation AC present which combines the right-hand data RD with a 
(primary) auxiliary value A before this data is fed to the 
cryptographic operation F. A supplementary combinatory operation 
BC is inserted between the cryptographic operation F and the 
combinatory operation CC with the purpose of combining the 
processed (right-hand) data RD' with a further (secondary) 
auxiliary value B. All combinatory operations preferably are XOR 
operations . 

Combining the data LD and RD with the auxiliary values A 
and B results in the modified data LD' being masked, as a result 
of which it is considerably more difficult to derive the original 
data LD and RD from the masked data LD • . 

In accordance with a further aspect of the invention, the 
auxiliary values A and B are related. The second auxiliary value 
B is formed, preferably using an XOR operation, from the first 
auxiliary value A^^ of the previous step and the auxiliary value A 
of the next step: 

Bi = Ai., © Ai,,. 

This results in each auxiliary value A which, using a further 
supplementary combinatory operation BC, is combined with the 
right-hand data RD as an ingredient of the further auxiliary 
value B, repeatedly being compensated in the next step before the 
data is subjected to the operation F. The auxiliary value A, 
however, does make itself felt in the modified data LD ' , in such 
a manner that this remains masked between two steps. 

The first step is advantageously preceded by preparatory 
combinatory operations EC and DC which form the right-hand data 
RDi and the left-hand data LD^^, respectively, of the first step 
on the basis of the primary auxiliary value A^ of the first step 
and a primary auxiliary value Aq, respectively. Said combinatory 
operations also preferably are XOR operations. In this case, the 
combinatory operation AC^ has the effect of removing the auxiliary 
value Ai from the right-hand data RD^ before offering it to the 



operation F^. In the right-hand data RD^ which, through crosswise 
exchange in the second step S2 will form the left-hand data LDj, 
the auxiliary value A-,^, and therewith the masking of the data, 
will be maintained. 

The second data SD^ of the first step are masked using 
the additional auxiliary value Aq. By combining with the 
auxiliary value Bj = A^, ©A2, the initial auxiliary value A^ is 
removed (on account of Aq ® A2 being zero), but the auxiliary 
value A2 and the masking achieved by it will be maintained. In 
this embodiment, the auxiliary value Aq is advantageously chosen 
equal to A^ . 

In order to remove the auxiliary values prior to the final 
processing (PP"^) , there are foreseen completing combinatory 
operations FC and GC, which combine the modified left-hand data 
LD*n of the last step with an auxiliary value A„^.i, and the 
right-hand data RD^ with an auxiliary value A^, respectively. As 
a result, it is possible to carry out the method in such a manner 
that, notwithstanding the use of the auxiliary values A, the 
final data Y is equal to that which would be obtained using the 
conventional method . 

Although all auxiliary values A^^ are preferably chosen 
different, with the exception of Aq = A^, it is possible to choose 
all auxiliary values Ai equal. In this case, all secundary 
auxiliary values in the embodiment shown will be equal to zero, 
so that the further combinatory operations BC may be omitted. 

In the process of FIG. 6, which largely corresponds to that 
of FIG. 5, the combinatory operations AC and BC and the 
cryptographic operation F are integrated to form a combined 
operation F' . Integrating the combinatory operations is possible 
by suitably adjusting, e.g., a substitution table of the 
operation F. As a result, the supplementary combinatory 
operations AC and BC may be omitted. Basically, each step 
requires a different combinatory operation Fi in which various 
auxiliary values A^ are integrated (see FIG. 5) . Only if the 
auxiliary values Ai are chosen equal, i.e., ^1=^2 = = A^, the 

combinatory operations Fi may be equal . 

The embodiment of FIG. 7 largely corresponds to that of 
FIG. 6. Supplementing FIG. 6, each step S, with the exception of 
the last step S^, includes a combinatory operation HC which 
combines the right-hand data RD with a tertiary auxiliary value 



W. The tertiary auxiliary value preferably equals the XOR 
combination of the auxiliary values and ; 



5 This results in the operation HC always adding the auxiliary 

value Aq and compensating the auxiliary value A-^. As a result, it 
is possible that all cryptographic operations F are essentially 
identical, which requires a much smaller processing and/or 
storage capacity from a processor system with which the method is 

10 carried out. It will be understood that, in the embodiment of 

FIG. 7, the operations F" are adjustments of the original 
operations F, such that these are corrected for the auxiliary 
value Ai and in addition combine the auxiliary value Aq with their 
result. In other words, if RD © A^ is fed to F", the result will 

15 equal F" (RD) © W. 

FIG. 8 schematically shows a circuit 10 for implementing 
the method according to the invention. The circuit 10 comprises 
a first memory 11, a second memory 12 and a processor 13, the 
memories 11 and 12 and the processor 13 being coupled using a 

20 data bus 14. By providing two memories, it is possible each time 

to carry out a substep of one of the processes P and P* (see FIG. 
4), to store the result of said s\ibstep in, e.g., the first 
memory 11, and from the second memory 12 to transfer a previous 
interim result from the other process to the processor 13 . In 

25 this manner, it is possible to efficiently carry out the 

alternating computation of substeps of two different processes. 

The payment system schematically shown in FIG. 9 comprises 
an electronic payment means 1 and a payment station 2 . The 
electronic payment means 1 is, e.g., a so-called smart card, 

30 i.e., a card provided with an integrated circuit for storing and 

processing payment data. The payment station 2 comprises a card 
reader 21 and a processor circuit 22. The processor circuit 22 
may correspond to the circuit 10 of FIG. 5. 

At the beginning of a transaction, the payment means 1 

35 transmits an identification (card identification) ID to the 

payment station 2. By reference to said identification, the 
payment station 2 determines a key which will be used for said 
transaction. Said identification ID may be fed as input data X 
(see the figures 1-3) to a cryptographic process which, on the 

40 basis of a master key MK, produces an identification-dependent 
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transaction key as output data Y. In accordance with the 
invention, for this purpose the process shown in the figures FIG. 
2 and 3 is used, the master key MK having been converted in 
advance, using a process R, into a supplementary master key MK* . 
Said supplementary master key MK* is now fed, preferably together 
with the identification ID, in accordance with FIG. 3, to the 
supplementary process P* in order to reproduce the original 
master key MK and to derive the transaction key Kj^ from the 
identification ID. 

Although, in the figures FIG. 2 and 3, there is always 
shown one single supplementary process P* , there may possibly be 
used several processes P* , P**, P***, ... in series and/or in 
parallel to derive the primary key K. 

It will be understood by those skilled in the art, that 
many modifications and amendments are possible without departing 
from the scope of the invention. 
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CLAIMS 



1. 



Method for cryptographically processing data, comprising 
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15 



20 



25 



30 



feeding, to a cryptographic process (P) , values, namely, the data 
(X) and a key (K) , and carrying out the process (P) in order to 
form cryptographically processed data (Y) , characterised by 
feeding, to the process (P) , auxiliary values {K*; A, B) in order 
to mask the values (K; D) used in the process (P) . 

2. Method according to claim 1, wherein an auxiliary value 
comprises a supplementary key (K*) which is fed to a 
supplementary process (P*) in order to form the key (K) . 

3. Method according to claim 2, wherein the supplementary 
process (P*) comprises a cryptographic process to which an 
auxiliary key (K' ) is fed. 

4. Method according to claim 2 or 3 , wherein the supplementary 
process (P*) is an invertible process. 

5. Method according to claim 2, 3 or 4 , wherein the data (X) 
is also fed to the supplementary process (P*) . 

6. Method according to claim 5, wherein carrying out the 
supplementary process (P*) takes place exclusively if the data 
(X) has predetermined properties . 

7. Method according to any of the claims 2-6, wherein the 
process (P) and the supplementary process (P*) each are built up 
from a number of steps, and wherein steps of the process (P) and 
the supplementary process (P*) are alternated. 

8. Method according to any of the preceding claims, wherein 
the process (P) comprises a number of steps (S) , each having a 
cryptographic operation (F) for processing right-hand data (RD) 
derived from the data (X) and a combinatory operation (C) for 
combining, with left-hand data (LD) also derived from the data 
(X) , the processed right-hand data (RD») in order to form 
modified left data (LD»), and wherein the right-hand data (RD) is 
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combined with a primary auxiliary value (A) prior to the 
operation F. 

9. Method according to claim 8, wherein the processed right - 
5 hand data (RD') is combined with a secondary auxiliary value (B> 

following the operation F. 

10. Method according to claims 8 and 9, wherein the secondary 
auxiliary value (B) of a step is formed from the combination of 

10 the primary auxiliary value (A) of the preceding step and the 

primary auxiliary value (A) of the next step. 

11. Method according to claim 8 or 10 wherein, prior to the 
first step (S^) , the right-hand data (RD) is combined with the 

15 primary auxiliary value (A^) of the first step (S^) and the left- 

hand data (liD) is combined with an additional avixiliary value 
(Ao) . 

12. Method according to claim 11 wherein, immediately after the 
20 last step (S„) , the right-hand data (RD^) is combined with the 

primary auxiliary value (A„) of the last step and the modified 
left-hand data (L.D') is combined with a further additional 
auxiliary value (An^i) . 

25 13. Method according to any of the claims 8-12, wherein all 

primary auxiliary values (A) are equal. ^ 

14. Method according to any of the claims 9-13, wherein he 
primary auxiliary values (A) and/or secondary auxiliary values 

30 (B) have each time been combined with the respective operation 

(F) in advance, 

15. Method according to any of the claims 8-14, wherein 
combining is carried out using an XOR operation. 
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16. Method according to any of the preceding claims, wherein 
the data (X) comprises identification data of a payment means (1) 
and the processed data (Y) forms a diversified key. 
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17. Method according to any of the preceding claims, wherein the 
process (P) comprises DBS, preferad^ly triple DES. 

18. Circuit (10) for carrying out the method according to any 
5 of the preceding claims . 

19. Payment card (1), provided with a circuit (10) according to 
claim 17. 



10 



20. Payment terminal (2) provided with a circuit according to 
claim 18 . 




ABSTRACT 

In the event of cryptographically processing data, said data (X) 
and a key (K) are fed to a cryptographic process (P) , which may 
5 be a known process. In order to veil the nature of the process 

(P) , there are fed auxiliary values to the process, such as a 
supplementary key (K*) , using which a supplementary process (P*) 
generates the key proper (K) . The combination of the original 
process (P) and the supplementary process (P*) provides an 
10 unknown process, the relationship between the supplementary key 

(K*) and the processed data (Y) being unknown. As a result, 
there is obtained an improved cryptographic security. 
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